為了防止安全漏洞，大多數(shù)人都避免點(diǎn)擊可疑電子郵件、消息和有風(fēng)險(xiǎn)的下載。然而一種通過(guò)“零”交互來(lái)感染設(shè)備的攻擊方式正悄然而生。它就是我們今天要討論的“零點(diǎn)擊”攻擊場(chǎng)景。

什么是“零點(diǎn)擊”攻擊

無(wú)論是直接利用目標(biāo)軟件中的漏洞，還是通過(guò)社會(huì)工程手段誘騙受害者放棄關(guān)鍵信息，傳統(tǒng)的網(wǎng)絡(luò)攻擊方法都需要人為交互，才能實(shí)現(xiàn)入侵和擴(kuò)散目的。

零點(diǎn)擊攻擊是黑客使用的最新方法，它不需要通過(guò)用戶的鼠標(biāo)點(diǎn)擊、人為交互就能實(shí)現(xiàn)攻擊目的。相比之下，網(wǎng)絡(luò)釣魚(yú)等傳統(tǒng)網(wǎng)絡(luò)攻擊方法則需要依靠社會(huì)工程手段來(lái)誘騙受害者點(diǎn)擊惡意內(nèi)容?！傲泓c(diǎn)擊”攻擊則是在沒(méi)有任何特定提醒、意外點(diǎn)擊或下載軟件的情況下實(shí)現(xiàn)的。零點(diǎn)擊攻擊可謂徹底改變了網(wǎng)絡(luò)安全的競(jìng)爭(zhēng)環(huán)境。

零點(diǎn)擊VS0 day

對(duì)于外行來(lái)說(shuō)，這兩種攻擊聽(tīng)起來(lái)很相似。但是，零點(diǎn)擊攻擊和0 day攻擊在本質(zhì)上是完全不同的。零點(diǎn)擊攻擊不依賴于特定機(jī)制來(lái)控制系統(tǒng)。相比之下，0 day攻擊依賴于現(xiàn)有的軟件漏洞來(lái)發(fā)動(dòng)破壞活動(dòng)。

不過(guò)，兩者之間雖存在本質(zhì)區(qū)別，卻也有關(guān)聯(lián)。零點(diǎn)擊攻擊有時(shí)會(huì)利用一些潛藏很深的0 day漏洞，來(lái)實(shí)施攻擊活動(dòng)。

著名的零點(diǎn)擊攻擊案例

最近，最臭名昭著的零點(diǎn)擊攻擊與以色列安全公司NSO Group構(gòu)建的侵入性間諜軟件Pegasus有關(guān)。2021年9月，多倫多大學(xué)公民實(shí)驗(yàn)室(Citizen Lab)宣布發(fā)現(xiàn)了一種零點(diǎn)擊攻擊。該攻擊允許攻擊者在受害者的設(shè)備上安裝Pegasus惡意軟件，監(jiān)聽(tīng)世界各國(guó)的人權(quán)活動(dòng)人士、企業(yè)高管和政界人士。

此后不久，Google的Project Zero小組發(fā)布了對(duì)NSO Group的漏洞利用技術(shù)分析，該漏洞被稱為“FORCEDENTRY”，可通過(guò)Pegasus間諜軟件感染iPhone、iPad、Apple Watch和Mac等設(shè)備，除了允許訪問(wèn)文本信息、電話和電子郵件外，攻擊者還可以訪問(wèn)攝像頭和麥克風(fēng)。該漏洞避開(kāi)了蘋(píng)果在推出 iOS14時(shí)設(shè)定的iMessage保護(hù)措施“BlastDoor”——一個(gè)沙盒安全系統(tǒng)，旨在防止一些可被利用的漏洞。幸運(yùn)的是，Apple已經(jīng)開(kāi)發(fā)并發(fā)布了針對(duì)此漏洞的相關(guān)補(bǔ)丁。

零點(diǎn)擊的危害力

可以說(shuō)，零點(diǎn)擊將安全威脅提升到了一個(gè)全新的水平。它與傳統(tǒng)網(wǎng)絡(luò)攻擊相比，存在很多先進(jìn)和高明的地方：

零點(diǎn)擊攻擊是不可見(jiàn)的。攻擊者只需要瞄準(zhǔn)受害者并發(fā)動(dòng)攻擊。受害者通常不知道他們的設(shè)備上存在任何未經(jīng)批準(zhǔn)的活動(dòng)，從而使黑客能夠閱讀消息、篩選照片或存放間諜軟件。

從犯罪分子的角度來(lái)看，零點(diǎn)擊攻擊的美妙之處在于，他們無(wú)需耗時(shí)耗力地設(shè)置陷阱，或誘騙受害者執(zhí)行某個(gè)特定的任務(wù)。與零點(diǎn)擊相比，社會(huì)工程或“廣撒網(wǎng)”釣魚(yú)(如最近的 COVID-19主題網(wǎng)絡(luò)釣魚(yú))活動(dòng)的成功率相對(duì)較低。

零點(diǎn)擊攻擊通過(guò)向用戶的手機(jī)發(fā)送一條并不觸發(fā)任何通知的消息，就能將某個(gè)有針對(duì)性的跟蹤工具或間諜軟件安裝到受害者的設(shè)備上。用戶甚至不需要解鎖屏幕，手機(jī)就會(huì)被感染。

零點(diǎn)擊攻擊不會(huì)留下任何破壞過(guò)程產(chǎn)生的痕跡。

零點(diǎn)擊攻擊采用了目前最為先進(jìn)的攻擊技術(shù)，往往能夠繞過(guò)各種安全端點(diǎn)、防病毒系統(tǒng)、以及防火墻。

除了具有欺騙性外，此類攻擊還具有遠(yuǎn)程性和普遍性，它可以通過(guò)利用網(wǎng)絡(luò)的全面覆蓋、Wi-Fi的漏洞、以及數(shù)據(jù)的去中心化等新的應(yīng)用形態(tài)，呈指數(shù)級(jí)增長(zhǎng)地蔓延到移動(dòng)設(shè)備中。

零點(diǎn)擊攻擊的工作原理

為了發(fā)起零點(diǎn)擊攻擊，黑客會(huì)將精心編碼的數(shù)據(jù)發(fā)送到通過(guò)任何無(wú)線信號(hào)傳遞的目標(biāo)設(shè)備中。這些數(shù)據(jù)旨在利用設(shè)備中硬件或軟件的漏洞，一旦它成功漏洞并提取或監(jiān)控?cái)?shù)據(jù)，它就能運(yùn)行命令可執(zhí)行文件。數(shù)據(jù)包通常以通信消息的形式到達(dá)，如彩信、語(yǔ)音郵件、視頻會(huì)議通話、WhatsApp等。

在某些情況下，旨在保護(hù)用戶免受惡意網(wǎng)絡(luò)活動(dòng)侵害的安全措施甚至?xí)α泓c(diǎn)擊攻擊。例如，端到端加密可能會(huì)導(dǎo)致難以確定是否發(fā)生了零點(diǎn)擊攻擊，因?yàn)槌税l(fā)送者和接收者之外，沒(méi)有人可以看到通過(guò)設(shè)備發(fā)送的數(shù)據(jù)包的內(nèi)容。

零點(diǎn)擊威脅“助推器”——暗網(wǎng)

網(wǎng)絡(luò)犯罪集團(tuán)通常會(huì)創(chuàng)建利用零點(diǎn)擊漏洞的工具。這些工具可以在黑市上賺取數(shù)百萬(wàn)美元。由于零點(diǎn)擊幾乎無(wú)法追蹤的性質(zhì)，它們經(jīng)常被民族國(guó)家行為者或希望進(jìn)行網(wǎng)絡(luò)攻擊的政府機(jī)構(gòu)使用。

攻擊目標(biāo)以前主要集中在記者身上。盡管采取了預(yù)防措施，但很多記者此前還是遭遇過(guò)零點(diǎn)擊威脅，迫使他們刪除了應(yīng)用程序，重做了大量工作，甚至人身安全也受到了威脅。

零點(diǎn)擊威脅防御建議

零點(diǎn)擊攻擊可能是黑客滲透設(shè)備的一種新的、狡猾的方式，但它們?nèi)匀皇强梢灶A(yù)防的。以下網(wǎng)絡(luò)安全措施能夠有效地防御零點(diǎn)擊攻擊：

• 使用最新的軟件版本和補(bǔ)丁使您的系統(tǒng)保持最新?tīng)顟B(tài)。雖然這一條是老生常談，但維護(hù)系統(tǒng)無(wú)疑是防止各種網(wǎng)絡(luò)陷阱的關(guān)鍵手段；
• 設(shè)置系統(tǒng)以阻止彈出窗口和垃圾郵件。如果需要，鼓勵(lì)個(gè)人相應(yīng)地配置瀏覽器設(shè)置；
• 鼓勵(lì)員工對(duì)企業(yè)帳戶使用強(qiáng)身份驗(yàn)證碼，尤其是那些連接到關(guān)鍵網(wǎng)絡(luò)的帳戶；
• 提醒員工僅從官方應(yīng)用商店下載應(yīng)用。與許多惡意模式一樣，零點(diǎn)擊攻擊腳本可以在不安全、安全性薄弱或未經(jīng)審查的軟件應(yīng)用程序中找到；
• 確保您的組織擁有一個(gè)強(qiáng)大的數(shù)據(jù)備份系統(tǒng)，這將有助于在發(fā)生侵入性零點(diǎn)擊事件時(shí)加快恢復(fù)；
• 警惕手機(jī)異常發(fā)熱、屏幕無(wú)法點(diǎn)亮、或通話時(shí)異常中斷等現(xiàn)象，這些都可能與零點(diǎn)擊攻擊有著密切關(guān)系；
• 安裝知名且強(qiáng)大的反間諜軟件和反惡意軟件工具；
• 持續(xù)監(jiān)控通信應(yīng)用程序中的陌生或未知呼叫、語(yǔ)音郵件和消息。如果發(fā)現(xiàn)可疑的東西，應(yīng)該更新應(yīng)用程序和設(shè)備的操作系統(tǒng)并運(yùn)行惡意軟件掃描。

作為一種高效的入侵手段，加上暗網(wǎng)提供的便利，零點(diǎn)擊攻擊勢(shì)必會(huì)吸引更多惡意行為者的注意，我們必須踐行優(yōu)秀實(shí)踐來(lái)最大限度地保護(hù)自身和企業(yè)免受此類威脅影響。

本文翻譯自：https://www.cybertalk.org/2022/04/05/what-is-a-zero-click-attack-it-could-invisibly-corrupt-devices/